借鸡生蛋:DNF歹意外挂登陆器阐明

0×00 媒介

有江湖的中央就有纷争,一样有游戏的中央也就有外挂。对DNF(地下城与懦夫)这款在国际运营了接近10年的老牌端游,各人必然不会感应目生。因为运营时候长,受众广,DNF相关的外挂私服也屈指可数。为了可以在浩繁的外挂私服中,取得恢弘的用户群,从而取得好处,有些恶意软件作者,就将方针瞄准到外挂私服上,上面就来具体引见这类“借鸡生蛋”的恶意软件。

0×01 恶意软件信息

该恶意软件经过二次打包其他第三方外挂登录器,并携带本身歹意模块,生成图标同原外挂登陆器分歧的恶意程序。当该恶意软件运转的时辰,会释放并启动一个名为“Reality.log”的顺序,其实这个文件才是真正的外挂登陆器,同时也会释放运转歹意模块,运转结果以下图所示。经过这类借鸡生蛋的体式格局,恶意软件作者不需求本人去开辟保护外挂登陆器,直接借用第三方顺序的用户来开展本人的肉鸡获得好处。

4.3.5 劫持方针收集数据

Intel.exe从域名www.dresou.net上下载的3个歹意模块,离别是Pack11.exe,Pack22.exe和Pack33.exe,此中Pack11.exe和Pack22.exe均为DDOS模块,除节制主机的域名不一样,其他功用分歧,Pack33.exe为Hosts文件劫持模块,其详细功用以下。

该恶意软件的反调试珍爱功用首要是在驱动层完成,首要包孕以下几个方面。

《借鸡生蛋:DNF歹意外挂登陆器阐明》

随机监听当地的一个端口,并建立一块历程间共享内存,将监听端口寄存在此中。

4.1.1浏览器主页锁定

A)经过MiniFilter珍爱本身相关模块,制止其他顺序接见。

4.1Intel类主页锁定模块

经过技术手段歹意锁定用户的浏览器主页为本人的导航推行,当“肉鸡”堆集到必然水平的时辰,天天都会发生对照可观的好处。同时经过窜改hosts文件,劫持竞争对手的私服网址,引流到本人的网站,将竞争对手的用户转化为本人的用户。

点赞

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注